Compartilhar via

Configurar o Controle de Aplicativos para Empresas usando OSConfig

O App Control for Business é uma camada de segurança baseada em software que reduz a superfície de ataque impondo uma lista explícita de software que pode ser executado. A Microsoft desenvolveu uma política padrão para o Windows Server 2025, que você pode implementar no servidor usando cmdlets do Windows PowerShell. A implementação do App Control é facilitada por meio da plataforma de configuração de segurança OSConfig e fornece dois modos de operação principais:

  • Modo de auditoria: permite que o código não confiável seja executado enquanto os eventos são registrados.
  • Modo de imposição: não permite que código não confiável seja executado enquanto os eventos são registrados.

Para saber mais sobre esses logs de eventos de segurança, consulte Noções básicas sobre eventos do Controle de Aplicativos e Noções básicas sobre marcas de eventos do Controle de Aplicativos.

Como o Controle de Aplicativos é um componente do Windows Server 2025, a implantação de suas políticas fornece acesso mais fácil ao modo de auditoria e ao modo de imposição por meio do PowerShell. Por padrão, as políticas de Controle de Aplicativos no modo de auditoria não são definidas no Windows Server 2025. Em vez disso, as organizações podem usar as empresas podem usar a ferramenta OSConfig para adicionar essas políticas. O OSConfig inclui políticas básicas (não assinadas) que podem ser personalizadas com políticas suplementares para atender a necessidades comerciais específicas. Para saber mais sobre esse aprimoramento de segurança, consulte Controle de Aplicativos para Windows.

Observação

Uma pasta de trabalho do Azure Monitor simplifica o processo de revisão de eventos de auditoria ou bloqueio que o sistema operacional emite quando o Controle de Aplicativos é ativado. Esta pasta de trabalho fornece insights sobre auditoria de arquivos e atividade de bloqueio, juntamente com:

  • Coletando e enviando logs de eventos do Windows para o Controle de Aplicativos para Empresas para seu workspace do Log Analytics.
  • Identificar atividades de eventos de arquivo e política usando vários painéis, gráficos, filtros e recursos de exportação. Esses recursos ajudam você a analisar e solucionar problemas dos efeitos e do status de suas políticas de Controle de Aplicativos.
  • Refinar suas políticas de Controle de Aplicativos exportando os dados da pasta de trabalho e ingerindo-os no Assistente do WDAC.

Para começar a usar a pasta de trabalho do Azure Monitor para Controle de Aplicativos para Empresas, consulte Como obter insights sobre eventos do WDAC (Controle de Aplicativos para Empresas).

Pré-requisitos

  • Você deve estar executando uma compilação do Windows Server 2025 assinada em produção em seu dispositivo. Esse requisito garante a conformidade com as políticas do Controle de Aplicativos para Empresas.

    Cuidado

    Binários assinados por pré-lançamento não são permitidos. O não cumprimento deste requisito resulta na incapacidade de iniciar o dispositivo.

  • O módulo OSConfig PowerShell deve ser instalado em seu dispositivo de servidor. Consulte Instalar o módulo OSConfig PowerShell para obter detalhes.

  • Você deve estar executando o Windows 10 versão 1909 ou posterior em seu dispositivo cliente e ter o Assistente do WDAC instalado.

Observação

Se o dispositivo cliente não tiver o .NET Desktop Runtime 8.0 ou posterior instalado, o Assistente do WDAC solicitará que você baixe e instale esse aplicativo.

Gerenciar políticas padrão

Para configurar as políticas padrão do Controle de Aplicativos no modo de auditoria, abra o PowerShell como administrador e execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Audit -Default

Para configurar as políticas padrão do Controle de Aplicativos no modo de imposição, abra o PowerShell como administrador e execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Enforce -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Enforce -Default

Monitorar logs de eventos

Para exibir eventos capturados depois de aplicar a política de Controle de Aplicativos, escolha qualquer aplicativo de terceiros que você deseja executar em seu dispositivo. Se você definir a política de Controle de Aplicativos no modo de auditoria, verifique se o sistema operacional emitiu a ID de evento 3076 para aplicativos de terceiros. Se você definir a política no modo de imposição, verifique se o sistema operacional emitiu a ID do evento 3077.

O sistema detecta tentativas do aplicativo de terceiros de acessar conteúdo restrito e toma medidas para bloquear o acesso. Para exibir e exportar esses logs de eventos, siga estas etapas:

  1. Clique com o botão direito do mouse em Iniciar e selecione Visualizador de Eventos.
  2. No painel esquerdo, vá para Aplicativos e Logs de Serviço\Microsoft\Windows\CodeIntegrity\Operational.
  3. No painel central, procure a ID do evento 3076 para o modo de auditoria ou 3077 para o modo de imposição.

Configurar políticas complementares

Para criar políticas complementares de Controle de Aplicativos, siga estas etapas:

  1. Copie o arquivo de log do servidor para o .evtx dispositivo cliente.
  2. No dispositivo cliente, abra o Assistente do WDAC.
  3. Na tela inicial , selecione Editor de políticas.
  4. Na tela Editor de Políticas, selecione Converter Log de Eventos em uma Política do WDAC. Em seguida, em Analisar Arquivos evtx do Log de Eventos para a Política, selecione Analisar Arquivo(s) de Log.
  5. Na caixa de diálogo Escolher logs de eventos para converter em política, localize o .evtx arquivo e selecione Abrir. Selecione OK no prompt e, em seguida, selecione Avançar.
  6. Na tela Regras de Arquivo, em Nome do Arquivo, selecione o arquivo que você deseja adicionar à política.
  7. Em Tipo de Regra, selecione Caminho e, em seguida, selecione + Adicionar Permitir.
  8. Repita a etapa 7 para todos os itens que você deseja adicionar à política e selecione Avançar.

Observação

Por padrão, as políticas complementares são armazenadas em C:\Users\Username\Documents no formato XML.

Depois que a política suplementar for gerada, copie o arquivo XML para o servidor e execute o seguinte script:

$policyPath = "<Path to the XML policy file>" 

# Reset GUID (best practice)  

Set-CIPolicyIdInfo -FilePath $policyPath -ResetPolicyID 

# Set policy version (VersionEx in the XML file)  

$policyVersion = "1.0.0.1" 

Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion 

# Set policy info (PolicyName and PolicyID in the XML file)  

Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "<App name>-Policy_$policyVersion" -PolicyName "<App name>-Policy" # E.g. Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Chrome-Policy_$policyVersion" -PolicyName "Chrome-Policy" 

$base = "{9214D8EE-9B0F-4972-9073-A04E917D7989}" 

Set-CIPolicyIdInfo -FilePath $policyPath -SupplementsBasePolicyID $base 

#Set the new policy into the system  

Set-OSConfigDesiredConfiguration -Scenario AppControl -Name Policies -Value $policyPath

Para verificar se as políticas complementares foram aplicadas, monitore as IDs de evento 3076 e 3077 , conforme descrito anteriormente em Monitorar logs de eventos. Verifique se o sistema operacional não gerou novos eventos.

Políticas de consulta

Para exibir as políticas que estão atualmente em vigor em seu ambiente, execute o seguinte comando:

(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $true }

Para exibir políticas que estão inativas no momento em seu ambiente, execute o seguinte comando:

(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $false }

A saída dessas consultas varia de acordo com suas necessidades de configuração de política.

Conteúdo relacionado